Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Подробности атаки на шифрование PGP и S/MIME в почтовых клие..., opennews (??), 14-Май-18, (0) [смотреть все] Ублюдку, который придумал слать html в письмах, надо вбить количество в ж Как и , Аноним (-), 22:09 , 14-Май-18, (2) +27 // 1 В письмах должен быть только текст, вложения и ссылки Остальное всё ненужно, th3m3 (ok), 22:22 , 14-Май-18, (3) +1 // Ну да Чтобы ни таблицу не вставить, ни картинку, ни вменяемо оформленный текст , Crazy Alex (ok), 22:36 , 14-Май-18, (4) +5 // В той же птичке галочка по умолчанию отключена, для возможности запросов в Инет , КО (?), 23:13 , 14-Май-18, (6) –1 Если есть галочка это заканчивается только тем, что пока её не нажмёшь - ни черт, Crazy Alex (ok), 23:29 , 14-Май-18, (7) +6 Не знаю, мне обычно все понятно, ибо ссылки на аттач работают, стили и отступы р, КО (?), 14:35 , 15-Май-18, (52) Ну и в качестве бонуса можно разрешать в конкретном письме или из доверенных ист, КО (?), 14:38 , 15-Май-18, (53) Хорошо подумав понял, что был не прав по поводу второй уязвимости Фиг с ним с im, КО (?), 17:36 , 18-Май-18, (69) Но к HTML это опять же отношения не имеет, можно сделать на любой разметке - ори, КО (?), 17:37 , 18-Май-18, (70) Markdown было бы достаточно , Аноним (-), 23:33 , 14-Май-18, (8) +2 AsciiDoc хватит всем , Аноним (-), 00:06 , 15-Май-18, (11) +4 Стабильного кнутовского ТеХ-а -- всем В печёнки Ибо не , Andrey Mitrofanov (?), 11:41 , 15-Май-18, (48) В принципе да, если тащить инлайновые картинки в виде multipart Лично я бы пред, Crazy Alex (ok), 00:15 , 15-Май-18, (12) –1 Ой, только не PDF PostScript - это ж хоть и специфичный, но полноценный, Тьюрин, KonstantinB (ok), 07:16 , 15-Май-18, (25) –1 Даёшь майнеры в письмах , Бетховен (?), 09:53 , 15-Май-18, (38) pdf и ps - разные вещи, в этом плане можно не беспокоиться, Crazy Alex (ok), 10:19 , 15-Май-18, (39) –2 Инлайновые картинки кстати очень хорошая вещь В вебе не используются по простой, rshadow (ok), 11:03 , 15-Май-18, (43) Для кучеряво оформленных документов есть специальная фича - вложения , anonblmous (?), 08:13 , 15-Май-18, (29) +5 PDF в аттаче отправляйте , freehck (ok), 11:32 , 17-Май-18, (68) А ведь это ПРАВДА Для пущей безопасности я бы еще из списка http-ссылки поудалял, konst55512 (?), 01:38 , 15-Май-18, (15) // Вот это как раз дело совершенно невозможное Они непрошибаемы разве что ломом в, anonblmous (?), 08:14 , 15-Май-18, (30) Ссылки то как раз дело хорошее При нажатии главное чтоб диалог подтвержения был, rshadow (ok), 11:12 , 15-Май-18, (46) Полностью согласен Вероятно идея HTML в электронной почте является самой разруш, Некто (??), 01:54 , 15-Май-18, (17) +1 // И что в ней такого разрушительного и убыточного на фоне тех же аттачей , angra (ok), 04:27 , 15-Май-18, (21) –2 // Аттач еще открыть надо А HTML - все делает сам Начиная от выполнения хакерског, Аноним (-), 00:25 , 16-Май-18, (63) Я больше скажу yблюдкy который вообще придумал EML надо большой и длинный встав, Аноним (-), 05:52 , 15-Май-18, (22) +1 Ты даже не представляешь, как удобно брать мышкой выделенный текст из ворда и пе, Аноним (-), 08:40 , 15-Май-18, (35) –2 // открытки рассылаешь что ли , АНГЫВНАГЫНВАШЩ (?), 11:15 , 15-Май-18, (47) // Обычные ИПшные вещи - например, кусок документа скопировать и выслать , Аноним (-), 11:47 , 15-Май-18, (49) +1 И нафига при этом вместе с текстом тащить в письмо отступы, интервалы, кегли и п, Аноним (-), 14:26 , 15-Май-18, (51) Ну бывает хочется коментарии италиком, литералы одним цветом, ключевые слова дру, КО (?), 14:41 , 15-Май-18, (54) , Michael Shigorin (ok), 23:46 , 14-Май-18, (9) +2 // Я вот, кстати, даже удивился в кои веки Claws, который мне Опеннет из соображен, PereresusNeVlezaetBuggy (ok), 06:37 , 15-Май-18, (23) // Наверное, не доделано просто, не успели присоединиться , Ю.Т. (?), 07:01 , 15-Май-18, (24) Claws как был лучшим из гуевых, так и остался, лол Кстати, Sylpheed подвержен уя, Аноним (-), 11:11 , 15-Май-18, (45) Сделать MITM и пихнуть img тег DKIM О_о - не не слышал , Sw00p aka Jerom (?), 00:50 , 15-Май-18, (13) // То что DKIM подписывает исключительно заголовки и то не все, обычно h Content-, Некто (??), 01:36 , 15-Май-18, (14) // DKIM может подписать всё, что ему скажешь, в том числе и тело сообщения Разумее, angra (ok), 04:24 , 15-Май-18, (20) +2 // Тут нужно отметить одно, МИТМ происходит на стороне получателя, и если отправите, Sw00p aka Jerom (?), 16:28 , 15-Май-18, (56) +1 нее, не читал https www ietf org rfc rfc6376 txt, Sw00p aka Jerom (?), 16:30 , 15-Май-18, (57) И при чем тут это Письмо отправляет атакующий от себя Зачем ему этот Ваш DKIM , КО (?), 08:46 , 16-Май-18, (64) // Расшифровать может как и клиент получатель так и его pgp шлюз, и тоже самое с , Sw00p aka Jerom (?), 14:19 , 16-Май-18, (67) Меня реально в этой уязвимости удивляет почему шифрование PGP и S MIME используе, Некто (??), 01:40 , 15-Май-18, (16) +2   // Это или от безалаберности или By design , а то чет в последнее время палятся сл, Аноним (-), 02:20 , 15-Май-18, (18) +1   Криптоподпись подтверждает отправителя, это не всем нужно и не всегда , Аноним (-), 03:46 , 15-Май-18, (19) +1   // Шифрование с использованием открытого публичного ключа как бы уже подтверждает о, anomymous (?), 07:54 , 15-Май-18, (27) –5   // Можно подробностей , Аноним (-), 08:09 , 15-Май-18, (28)   Можно Ключ для расшифровки вы как будете выбирать на клиенте , anomymous (?), 08:38 , 15-Май-18, (34)   для -- ДЕшифровки я попробовал бы свой ключ а не ключ отправителя которого, с, Xasd5 (?), 09:48 , 15-Май-18, (37)   ты ошибся, брат Бывает, Аноним (-), 10:59 , 15-Май-18, (41) –1   Да, мне тоже удивительно, почему в сообщении с шифрованием, к тому же использующ, anomymous (?), 07:53 , 15-Май-18, (26) +1   В данном случае это не важно Ибо письмо посылает атакующий Просто вставляет ту, КО (?), 08:30 , 15-Май-18, (32) +1   // Опять же - mixed content разрешен почему-то Чётких boundary сделать для крипток, anomymous (?), 08:37 , 15-Май-18, (33)   Ты фигню несёшь Кого атакующий, посылающий письмо, атаковать будет Себя Ведь , Аноним (-), 22:21 , 15-Май-18, (62)   Это что подпись для исходного письма лолВозможным, так как подписывается не всё, Nicknnn (ok), 21:42 , 15-Май-18, (61)   Всегда говорил, что за HTML в почте надо вешать на первом фонаре , ryoken (ok), 09:26 , 15-Май-18, (36) +1 лолЭх, как не терпелось-то, а Ведь и название придумали, и сайт запилили на кра, Аноним (-), 10:30 , 15-Май-18, (40) // Видные британские дизайнеры, верстальщики и один маркетолог объявили о нахожден, Аноним (-), 11:01 , 15-Май-18, (42) +1 то есть я, злоумышленник, могу послать письмо, включить в него шифрованный конте, анон (?), 13:40 , 15-Май-18, (50) // Если у получателя стоит галочка отправлять геты на сторону Если не стоит, то не, КО (?), 14:44 , 15-Май-18, (55) Печально то, что Thunderbird оказался уязвим Печально, но не удивительно, если , Kuromi (ok), 16:38 , 15-Май-18, (58) –1 // на офсайте написано free, easy, great features и всё совпадает rare cases наруш, Аноним (-), 18:54 , 15-Май-18, (60) Если ССЗБ снимет галочку - получать контент из интернета для всех писем, сайтов, КО (?), 08:49 , 16-Май-18, (65) // Т е поставит , КО (?), 08:51 , 16-Май-18, (66) гг если дырка в обращении к внешним ресурсам через html, то надо запретить html , Аноним (-), 20:38 , 19-Май-18, (71) 2,9,13,16,36,40,50,58,71

Сообщения

[Сортировка по времени | RSS]

16. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+2 +/–
Сообщение от Некто (??), 15-Май-18, 01:40
Меня реально в этой уязвимости удивляет почему шифрование PGP и S/MIME используется без предварительного крипто подписывания сообщения? Ведь в этом случае сторонние вставки в текст становятся невозможными.
Ответить | Правка | Наверх | Cообщить модератору

	18. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+1 +/–
	Сообщение от Аноним (-), 15-Май-18, 02:20
	Это или от безалаберности или "By design", а то чет в последнее время палятся слишком уж очевидные уязвимости=)))
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+1 +/–
	Сообщение от Аноним (-), 15-Май-18, 03:46
	Криптоподпись подтверждает отправителя, это не всем нужно и не всегда.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	27. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	–5 +/–
	Сообщение от anomymous (?), 15-Май-18, 07:54
	Шифрование с использованием открытого публичного ключа как бы уже подтверждает отправителя.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от Аноним (-), 15-Май-18, 08:09
	Можно подробностей?
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от anomymous (?), 15-Май-18, 08:38
	> Можно подробностей? Можно. Ключ для расшифровки вы как будете выбирать на клиенте?
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от Xasd5 (?), 15-Май-18, 09:48
	для -- ДЕшифровки я попробовал бы свой ключ (а не ключ отправителя.. которого, секундочку, у меня даже нет!). однако кто отправил (и не подменили ли письмо при отправке?, и не переслали ли занова вообще полностью всё письмо?) -- это ни как не прояснит
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	–1 +/–
	Сообщение от Аноним (-), 15-Май-18, 10:59
	ты ошибся, брат. Бывает
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	26. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+1 +/–
	Сообщение от anomymous (?), 15-Май-18, 07:53
	Да, мне тоже удивительно, почему в сообщении с шифрованием, к тому же использующим PKI, нет подписи целостности контента. То ли это сознательно оставленная дыра, то ли одно из двух.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	32. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+1 +/–
	Сообщение от КО (?), 15-Май-18, 08:30
	>Меня реально в этой уязвимости удивляет почему шифрование PGP и S/MIME используется без предварительного крипто подписывания сообщения? В данном случае это не важно. Ибо письмо посылает атакующий. Просто вставляет ту часть, которую хочет, чтобы расшифровал атакуемый. Городить же на клиенте правила, если письмо от Боба то расшифровывать ключом - Б, а если от Алисы - А, этот функционал (создание правил) не каждая домохозяйка осилит. А кто осилит, тому автоматическая расшифровка не нужна.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	33. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от anomymous (?), 15-Май-18, 08:37
	Опять же - mixed content разрешен почему-то. Чётких boundary сделать для криптоконтента не потрудились. Я этим счастьем как-то сразу решил не пользоваться, для крипты есть криптованные аттачменты.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от Аноним (-), 15-Май-18, 22:21
	Ты фигню несёшь. Кого атакующий, посылающий письмо, атаковать будет? Себя? Ведь он максимум сможет получить сообщение, которое отправил. Тут проблема в том, что кто-то из толпы может модифицировать чужие сообщения.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	61. "Подробности атаки на шифрование PGP и S/MIME в почтовых клие..."	+/–
	Сообщение от Nicknnn (ok), 15-Май-18, 21:42
	> предварительного Это что подпись для исходного письма? лол > невозможными Возможным, так как подписывается не всё письмо, а только часть, выделенная разделителями. Тэг можно поставить над этим разделителем и зашифрованная часть по прежнему будет считаться проверенной. Ну и  можно просто вырезать подпись из письма.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема